Александр Моисеев
Ведущий консультант по ИБ AKTIV.CONSULTING
Исходными данными для определения критичности уязвимостей являются:
- база уязвимостей ПО, содержащаяся в Банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru);
- официальные информационные ресурсы разработчиков ПО, программно-аппаратных средств и исследователей в области информационной безопасности;
- сведения о составе и архитектуре информационных систем, полученные по результатам их инвентаризации и (или) приведенные в документации на информационные системы;
- результаты контроля защищенности информационных систем, проведенные оператором.
Указанные исходные данные могут уточняться или дополняться с учетом особенностей области деятельности, в которой функционируют информационные системы.
Оценка уровня критичности уязвимостей программных, программно-аппаратных средств применительно к конкретной информационной системе включает:
- определение программных, программно-аппаратных средств, подверженных уязвимостям;
- определение в информационной системе места установки программных, программно-аппаратных средств, подверженных уязвимостям (например, на периметре системы, во внутреннем сегменте системы, при реализации критических процессов (бизнес-процессов) и других сегментах информационной системы);
- расчет уровня критичности уязвимости.
Точные варианты расчетов для определения степени уязвимости приводятся в документе. В зависимости от уровня критичности уязвимостей оператором принимается решение о необходимости их устранения:
Критический уровень — в течение 24 часов.
Высокий уровень — в течение 7 дней.
Средний уровень — в течение 4 недель.
Низкий уровень — в течение 4 месяцев.
Уязвимости программно-аппаратных средств могут быть устранены путем установки обновления ПО. В случае невозможности получения, установки и тестирования обновлений принимаются компенсирующие меры защиты информации, а именно:
- изменение конфигурации уязвимых компонентов информационной системы;
- ограничение по использованию уязвимых программных, программно- аппаратных средств;
- резервирование компонентов информационной системы;
- использование сигнатур, решающих правил средств защиты информации, обеспечивающих выявление в информационной системе признаков эксплуатации уязвимостей;
- мониторинг информационной безопасности и выявление событий безопасности информации в информационной системе, связанных с возможностью эксплуатации уязвимостей.
Ссылка на документ
Источник: AKTIV.CONSULTING